2024 december 29

Raccoon Stealer kampány kriptobányászatot folytat és kriptovalutát lop

“Mivel manapság a mindennapi és a professzionális élet nagy része a böngészőn keresztül nyújtott szolgáltatásoktól függ, az információtolvaj vírus mögött álló üzemeltetők egyre inkább az elmentett webes hozzáférési adatokra hajtanak, amelyek szélesebb körű hozzáférést biztosítanak, mintha csak tárolt jelszó-hasheket lopnának” mondta Sean Gallagher, a Sophos senior fenyegetéskutatója.

“Az általunk követett kampány megmutatta, hogy a Raccoon Stealer jelszavakat, sütiket és a weboldalakon használt, elmentett, automatikusan kitöltésre kerülő szövegeket lop, beleértve a hitelkártya adatokat és más személyes azonosító információkat, melyeket a böngésző eltárolhat. Egy új “clipper” frissítésnek köszönhetően, amely megváltoztatja egy kriptovaluta tranzakció vágólapját vagy célinformációit, a Raccoon Stealer már kriptotárcákat is támad és képes fájlok megszerzésére, illetve betöltésére is a fertőzött rendszereken – például további vírus elhelyezésére. Ez rengeteg könnyen pénzzé tehető lehetőség a digitális bűnözők számára egy olyan szolgáltatástól, amelyet 75 dollárért lehet egy hétre “kibérelni”.

A Raccoon Stealert általában spam emaileken keresztül terjesztik. A Sophos által vizsgált kampány esetében azonban olyan droppereken keresztül juttatják célba, amelyet a működtetők tört szoftvertelepítőknek álcáznak. Ezek a dropperek a Raccoon Stealert további támadó eszközökkel csomagolják össze, melyek közé káros böngésző-kiegészítők, kattintásos-átveréses Youtube botok és az elsősorban otthoni felhasználókat célzó Djvu/Stop zsarolóvírus is tartozik.

A Sophos kutatói szerint a Raccoon Stealer kampány mögött álló operátorok először használták a Telegram chat szolgáltatást a vezérléshez használt kommunikációra. 

“Az információtolvaj eszközök fontos szerepet töltenek be a digitális bűnözés ökoszisztémájában. Gyors megtérülést kínálnak a befektetésért cserébe és egy könnyű, olcsó belépési pontot nyújtanak a nagyobb támadásokhoz.” nyilatkozta Gallagher. “A digitális bűnözők gyakran “fekete” piactereken adják el a lopott hitelesítő adatokat, lehetővé más támadóknak, beleértve zsarolóvírus üzemeltetőknek és Initial Access Brokereknek, hogy azokat a saját illegális szándékaik megvalósításához használják fel – például a munkahelyi chat szolgáltatáson keresztül betörhessenek a vállalati hálózatra. Vagy a csalók a hitelesítő adatokat további támadásokhoz használják fel, melyekkel ugyanazon a platformon más felhasználókat céloznak meg. Folyamatos kereslet van az ellopott felhasználói hitelesítő adatokra – különösen a legitim szolgáltatásokhoz hozzáférést biztosító azonosítókra, amelyeket a támadók vírus egyszerű hosztolására vagy további terjesztésére használhatnak. Az információtolvaj eszközök alsóbbrendű fenyegetéseknek tűnhetnek, ám nem azok.”

A Sophos azt javasolja azoknak szervezeteknek, melyek a munkahelyi chathez és kollaborációhoz online szolgáltatásokat használnak, hogy alkalmazzanak többlépcsős azonosítást (MFA) a dolgozók fiókjainak védelméhez. Továbbá biztosítsák azt, hogy az alkalmazottak naprakész vírus elleni védelemmel rendelkezzenek bármely digitális eszközükön, amelyekről távolról hozzáférnek a munkához kapcsolódó szolgáltatásokhoz.

A Sophos Intercept X megvédi a felhasználókat a Raccoon Stealerhez hasonló rosszindulatú programok műveleteinek és viselkedésének észlelésével, beleértve a memóriában végbemenő gyanús tevékenységek ellenőrzését és a fájlnélküli malware elleni védelmet is.

A Sophos azt tanácsolja a felhasználóknak, hogy az általuk és családtagjaik által online kommunikációra és játékra használt eszközökre telepítsenek egy biztonsági megoldást, például a Sophos Home-ot, hogy megvédhessenek mindenkit a rosszindulatú programoktól és digitális fenyegetésektől. A licensz nélküli szoftverek letöltésének és telepítésének kerülése is jó biztonsági gyakorlat, bármilyen forrásból is származzanak azok. Először mindig ellenőrizze, hogy választása jogilag tiszta e!